Mailinglist Archive: opensuse-es (681 mails)
| < Previous | Next > |
[opensuse-es] Repositorios firmados (Era: Consulta Instalación OpenSuse)
- From: Camaleón <noelamac@xxxxxxxxx>
- Date: Mon, 17 May 2010 21:52:05 +0000 (UTC)
- Message-id: <pan.2010.05.17.21.52.05@xxxxxxxxx>
El Mon, 17 May 2010 15:15:19 -0600, Gabriel escribió:
(...)
No le des tantas vueltas :-)
Si dices de qué repositorio concreto se trata, te podrán decir si puedes
confiar en él o no. Ya te adelanto que seguramente la tengas que importar.
<modo "ranting nocturnae" on>
Agregar la clave GPG no es más que un mero trámite burocrático que a
efectos prácticos sirve de bien poco, tal y como está concebido: la clave
sólo identifica a un usuario, pero ese usuario puede ser un completo
desconocido para el resto de los mortales y por tanto su clave no está
catalogada como "trusted". Sí, los paquetes o el repositorio (repomd.xml)
están firmados pero podría ser un usuario malvado (juas).
Y digo que "a efectos prácticos sirve de poco" porque con tanta seguridad
(y tan mal gestionada, ese el problema realmente, la mala administración
y desarrollo) está produciendo en el usuario el efecto contrario: que
pasa de todo y termina por decir que sí a todos los mensajes de aviso sin
leerlos.
Por ejemplo, las alertas de los certificados SSL de las páginas web. Pues
nada, hay empresas (o usuarios) que no los renuevan, que no programan las
páginas web correctamente cuando se mezcla contenido "https://"; con
contenido "http:" o que utilizan certificados expedidos por uno mismo,
hala... con un par.
¿Y qué es lo eso genera? Pues mensajitos de alerta en los navegadores y
los usuarios están hasta el moño de pulsar ya en tanta ventana y termina
por decirle que sí a todo.
Pues con las claves GPG pasa algo similar. Te aparece un aviso de que
para añadir un repositorio tienes que importar una clave. Clave que te
viene de un usuario que desconoces y de un servidor indeterminado. Pero,
ah, lo que quieres es instalar el maldito programa que está disponible en
ese repo, así que al final terminas por decir que sí, que instale las
claves que quieras pero que termine con el proceso.
</modo "ranting nocturnae" off>
Menudo rollo acabo de soltar. Bueno, lo importante está en las tres
primeras líneas, el resto es sólo un poco de "ranting" nocturno :-)
Ah, por cierto, ya te comentamos en este hilo (un poco más arriba) que
utilices los menos repositorios posibles para evitar problemas. Con 5
repos ya deberías estar servido >:-)
Saludos,
--
Camaleón
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
(...)
9-La pregunta ingenua de mi hijo es que si hay diferencia entre importar
y no importar, o sea, que si agrega la llave, en el entendido de que la
primera vez el amigo (que ahora ha desaparecido del aMSN
desgraciadamente) le dijo QUE NO la agregara, porqué ahora
obligatoriamente hay que agregarla para que se puedan agregar
repositorios en yast.
No le des tantas vueltas :-)
Si dices de qué repositorio concreto se trata, te podrán decir si puedes
confiar en él o no. Ya te adelanto que seguramente la tengas que importar.
<modo "ranting nocturnae" on>
Agregar la clave GPG no es más que un mero trámite burocrático que a
efectos prácticos sirve de bien poco, tal y como está concebido: la clave
sólo identifica a un usuario, pero ese usuario puede ser un completo
desconocido para el resto de los mortales y por tanto su clave no está
catalogada como "trusted". Sí, los paquetes o el repositorio (repomd.xml)
están firmados pero podría ser un usuario malvado (juas).
Y digo que "a efectos prácticos sirve de poco" porque con tanta seguridad
(y tan mal gestionada, ese el problema realmente, la mala administración
y desarrollo) está produciendo en el usuario el efecto contrario: que
pasa de todo y termina por decir que sí a todos los mensajes de aviso sin
leerlos.
Por ejemplo, las alertas de los certificados SSL de las páginas web. Pues
nada, hay empresas (o usuarios) que no los renuevan, que no programan las
páginas web correctamente cuando se mezcla contenido "https://"; con
contenido "http:" o que utilizan certificados expedidos por uno mismo,
hala... con un par.
¿Y qué es lo eso genera? Pues mensajitos de alerta en los navegadores y
los usuarios están hasta el moño de pulsar ya en tanta ventana y termina
por decirle que sí a todo.
Pues con las claves GPG pasa algo similar. Te aparece un aviso de que
para añadir un repositorio tienes que importar una clave. Clave que te
viene de un usuario que desconoces y de un servidor indeterminado. Pero,
ah, lo que quieres es instalar el maldito programa que está disponible en
ese repo, así que al final terminas por decir que sí, que instale las
claves que quieras pero que termine con el proceso.
</modo "ranting nocturnae" off>
Menudo rollo acabo de soltar. Bueno, lo importante está en las tres
primeras líneas, el resto es sólo un poco de "ranting" nocturno :-)
Ah, por cierto, ya te comentamos en este hilo (un poco más arriba) que
utilices los menos repositorios posibles para evitar problemas. Con 5
repos ya deberías estar servido >:-)
Saludos,
--
Camaleón
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
| < Previous | Next > |